#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-35, также известная как Donot, - это изощренная организация APT-атак из Южной Азии, нацеленная на правительственные учреждения в Пакистане и соседних странах с целью кражи конфиденциальной информации. Их действия по атакам включают использование макросов и документов об уязвимостях для внедрения новых компонентов атаки для утечки данных. Организация демонстрирует настойчивость в своих атаках, постоянно обновляя тактику и разрабатывая вредоносный код. Анализ, проведенный Институтом перспективных исследований угроз 360, выявил недавние атаки, которые подчеркивают необходимость упреждающего обнаружения угроз и принятия защитных мер для обеспечения безопасности национальной сети.
-----

APT-C-35, также известная как Donot, - это изощренная организация, осуществляющая атаки с использованием APT из Южной Азии, специально нацеленная на правительственные учреждения в Пакистане и соседних странах с целью кражи конфиденциальной информации. Их атаки продолжаются с 2016 года, и в последние годы их частота заметно возросла. Организация постоянно обновляет и совершенствует свои компоненты атаки, чтобы усовершенствовать свою тактику.

Совсем недавно 360 Advanced Threat Research Institute раскрыли атаки APT-C-35 на Пакистан с помощью ежедневного поиска угроз. В ходе этих атак организация использовала макродокументы и документы об уязвимостях в качестве носителей вредоносного по.Новые компоненты атаки NET для целей утечки данных. Эти компоненты редко использовались в предыдущих атаках и все еще находятся на стадии разработки, что требует анализа для повышения осведомленности и предотвращения обмана пользователей.

APT-C-35 использовал два метода для загрузки вредоносных компонентов в своих атаках. Первый метод заключался в использовании файла-приманки с макросами для выполнения нескольких уровней шелл-кода, что приводило к загрузке вредоносной библиотеки DLL. Во втором методе для загрузки документа в формате RTF, содержащего уязвимость, использовалось внедрение шаблона. При открытии документа и срабатывании уязвимости загружался файл-приманка и освобождалась вредоносная библиотека DLL.

Стратегия атаки включала в себя различные вредоносные образцы, в том числе образец макроса под названием "SOP - Payables.doc", замаскированный под финансовый отчетный документ пакистанской компании Shibli Electronics Limited. Встроенный макрокод в примере проверяет пароль перед выполнением ключевых функций, потенциально намекая на способ обхода инструментов динамического обнаружения, таких как изолированные системы, путем передачи пароля по электронной почте более высокого уровня. Кроме того, были обнаружены другие вредоносные макродокументы, которые не включали проверку пароля и выполняли различные шелл-коды в зависимости от архитектуры системы.

Проанализировав доменное имя ссылки для скачивания "office-updatecentral.com", было установлено, что оно связано с примером атаки на уязвимость, которую использовала группа Donot против Пакистана. Эта атака соответствовала предыдущим тактикам, методам и процедурам (TTP) организации Donot, демонстрируя сходство в выполнении кода, методах антивирусного обнаружения и методах манипулирования файлами. Организация APT-C-35 продемонстрировала настойчивость в своих атаках, расшифровывая и загружая полезную информацию слой за слоем с помощью шеллкода, включая запланированные задачи для постоянного присутствия и постоянно совершенствуя свой вредоносный код с помощью функциональной модульности.

Отнесение этих атак к организации APT-C-35 основано на тщательном анализе характера их атак, согласованности целей и активности в прошлом с момента их раскрытия в 2016 году. Неустанное стремление организации к внедрению передовых методов борьбы с угрозами подчеркивает важность упреждающего обнаружения угроз и мер защиты. Институт перспективных исследований угроз 360 играет ключевую роль в выявлении и раскрытии таких передовых угроз, внося значительный вклад в усилия по обеспечению национальной сетевой безопасности.

#ParsedReport #CompletenessMedium
16-10-2024

Operation "Code on Toast"

https://image.ahnlab.com/atip/content/file/20241015/(%EC%A0%84%EC%B2%B4%EB%B3%B8)%EA%B3%B5%EA%B0%9C%EB%B3%B4%EA%B3%A0%EC%84%9C-OperationCodeonToast.pdf

Report completeness: Medium

Actors/Campaigns:
Code_on_toast
Scarcruft

Threats:
Watering_hole_technique
Rtf_template_inject_technique
Ad_toast
Rokrat
Ollydbg_tool
Process_hacker_tool
Windbg_tool
Procmon_tool

Victims:
Domestic north korea experts, Defectors, Korean citizens, North korean experts

Geo:
North korea, Korean, North korean

CVEs:
CVE-2024-38178 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20751)
- microsoft windows 10 1607 (<10.0.14393.7259)
- microsoft windows 10 1809 (<10.0.17763.6189)
- microsoft windows 10 21h2 (<10.0.19044.4780)
- microsoft windows 10 22h2 (<10.0.19045.4780)
have more...
CVE-2020-1380 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft internet explorer (11)

CVE-2022-41128 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.19567)
- microsoft windows 10 1607 (<10.0.14393.5501)
- microsoft windows 10 1809 (<10.0.17763.3650)
- microsoft windows 10 20h2 (<10.0.19042.2251)
- microsoft windows 10 21h1 (<10.0.19043.2251)
have more...

ChatGPT TTPs:
do not use without manual check
T1203, T1071.001, T1140, T1027, T1105, T1055.012, T1197

IOCs:
File: 13
Hash: 5
Path: 2
Command: 1

Soft:
Internet Explorer, sysinternals, windump, wechat, Chrome, Opera, FireFox

Crypto:
ripple

Algorithms:
xor, aes-cbc, aes

Functions:
ex_func, SetValueType

Win API:
IsDebuggerPresent, ExitProcess

Languages:
ruby, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - меняющийся ландшафт киберугроз, в котором особое внимание уделяется прекращению поддержки Internet Explorer компанией Microsoft, росту числа изощренных хакерских группировок, таких как TA-RedAnt, и использованию ими уязвимостей для проведения целенаправленных атак, в частности, путем использования вредоносной рекламы и JavaScript в веб-браузерах. В тексте также подчеркиваются усилия охранных фирм и агентств по обнаружению и устранению этих угроз посредством оперативной связи, выпуска исправлений и подробного раскрытия уязвимостей.
-----

Корпорация Microsoft объявила о прекращении поддержки Internet Explorer в июне 2022 года, что привело к ограничениям на его использование в новейших операционных системах Windows для снижения риска несанкционированных атак.

Некоторые приложения Windows по-прежнему встраивают IE или связанные с ним модули, создавая угрозу безопасности в качестве потенциальных векторов атак для хакеров, использующих уязвимости нулевого дня в IE, которые трудно обнаружить с помощью традиционного антивирусного программного обеспечения и которые могут иметь далеко идущие последствия.

Северокорейская хакерская группа TA-RedAnt (ранее известная как RedEyes) продемонстрировала возросшее технологическое мастерство, нацеливаясь на отдельных лиц, помимо северокорейских экспертов и перебежчиков, с помощью таких методов, как вредоносные электронные письма, APK-файлы и использование уязвимостей, не связанных с IE.

Атака, организованная TA-RedAnt в мае 2024 года, использовала новую уязвимость IE с помощью всплывающей рекламы в популярном бесплатном программном обеспечении в Южной Корее, что привело к быстрому обнаружению ее службами безопасности, что привело к выпуску исправления (CVE-2024-38178) для устранения проблемы.

TA-RedAnt воспользовался предыдущими случаями аналогичных уязвимостей IE, включая такие атаки, как "Утечка информации из местных СМИ" в январе 2021 года и распространение вредоносного документа MS Word в октябре 2022 года.

Вредоносная программа группы, входящая в серию RokRAT, является сложной и использует различные методы шифрования и поведения, чтобы скрыть свое присутствие, а цепочки атак включают внедрение первичного и вторичного вредоносного ПО, чтобы избежать обнаружения.

#ParsedReport #CompletenessLow
16-10-2024

APT Profile - VOLT TYPHOON

https://www.cyfirma.com/research/apt-profile-volt-typhoon

Report completeness: Low

Actors/Campaigns:
Volt_typhoon (motivation: sabotage, cyber_espionage, information_theft)

Threats:
Credential_harvesting_technique
Spear-phishing_technique

Industry:
Iot, Maritime, Critical_infrastructure, Transport, Education, Government

Geo:
China, Canada, New zealand, America, United kingdom, Taiwan, Australia, India, Chinese, Korea, Japan

ChatGPT TTPs:
do not use without manual check
T1078, T1021, T1059, T1560, T1068

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Volt Typhoon - это изощренная хакерская группа, спонсируемая китайским государством, которая нацелена на критически важную инфраструктуру в различных странах, включая США, Великобританию, Канаду и другие, используя передовые тактики, такие как использование уязвимостей нулевого дня, использование оперативных сетей ретрансляции и вывоз украденных данных. Их деятельность представляет серьезную угрозу международной кибербезопасности и подчеркивает необходимость усиления мер безопасности и международного сотрудничества для снижения рисков.
-----

Volt Typhoon - это сложная хакерская группа, спонсируемая китайским государством, которая нацелена на критически важную инфраструктуру в США и других странах. Недавние кампании Volt Typhoon показали, что основное внимание уделяется использованию уязвимостей нулевого дня в широко используемом программном обеспечении, таком как Versa Director, в первую очередь для интернет-провайдеров и поставщиков управляемых услуг. Группа использует оперативные ретрансляционные сети (ORB), состоящие из виртуальных частных серверов (VPS), взломанных устройств Интернета вещей и маршрутизаторов, чтобы замаскировать внешний трафик и избежать обнаружения. Эти сферы настраиваются с использованием украденных или арендованных прокси-серверов и маршрутизаторов для дома/небольшого офиса для проведения шпионских операций и потенциального нарушения работы критически важной инфраструктуры.

Их цели охватывают различные сектора по всему миру, включая связь, производство, коммунальные услуги, транспорт, строительство, судоходство, государственное управление, информационные технологии и образование. Volt Typhoon использует передовые тактические приемы, такие как выдача команд из командной строки для сбора данных, в частности, для извлечения учетных данных как из локальных, так и из сетевых систем. Затем украденная информация хранится в архиве для целей фильтрации. Кроме того, хакерская группа использует украденные учетные данные для обеспечения длительного доступа и контроля в скомпрометированных сетях.

Страны, пострадавшие от тайфуна "Вольт", включают Соединенные Штаты, Великобританию, Канаду, Индию, Японию, Тайвань, Южную Корею, Новую Зеландию и Австралию. Это свидетельствует о широкомасштабном влиянии и подчеркивает глобальный охват группы и потенциальную угрозу, которую она представляет для международной кибербезопасности.

Использование ORBS компанией Volt Typhoon демонстрирует высокий уровень оперативной сложности и свидетельствует о преднамеренных усилиях по заметанию следов и избежанию обнаружения правоохранительными органами и службами безопасности. Используя комбинацию VPS, скомпрометированных устройств Интернета вещей и маршрутизаторов, группа создает сложную сетевую инфраструктуру, которая позволяет им запускать атаки, оставаясь анонимными и не поддающимися отслеживанию.

Выбор Volt Typhoon в качестве целей для таких критически важных секторов, как связь, коммунальные услуги и государственное управление, свидетельствует о стратегическом внимании к инфраструктуре, которая имеет жизненно важное значение для национальной безопасности и экономической стабильности. Получая несанкционированный доступ к этим секторам и похищая конфиденциальные данные, группа представляет серьезную угрозу не только для отдельных организаций, но и для общей системы безопасности стран, на которые направлены ее действия.

Подводя итог, можно сказать, что недавние кампании Volt Typhoon демонстрируют опытного и постоянного участника угроз, уделяющего особое внимание критически важной инфраструктуре и стратегическим секторам во многих странах. Использование ими передовых тактик, включая эксплойты нулевого дня и оперативные ретрансляционные сети, подчеркивает необходимость усиления мер кибербезопасности и международного сотрудничества для эффективного снижения рисков, связанных с киберугрозами, спонсируемыми государством, такими как Volt Typhoon.

#ParsedReport #CompletenessLow
16-10-2024

Imperva Defends Against Targeted Exploits Used By APT29 Hackers

https://www.imperva.com/blog/imperva-defends-against-exploits-used-by-apt29-hackers

Report completeness: Low

Actors/Campaigns:
Duke (motivation: cyber_espionage)

Threats:
Supply_chain_technique

Victims:
Government organizations, Technology firms, Key infrastructure, Imperva customers, Financial services site

Industry:
Government, Telco

Geo:
Russia, North korean, United kingdom, Germany, France, Russian, Australia, India

CVEs:
CVE-2023-42793 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- jetbrains teamcity (<2023.05.4)

CVE-2022-27924 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zimbra collaboration (8.8.15, 9.0.0)


ChatGPT TTPs:
do not use without manual check
T1190, T1005

Soft:
Zimbra Collaboration Suite, JetBrains TeamCity, zimbra, teamcity

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - всплеск кибератак, осуществляемых российскими хакерами APT29, нацеленных на уязвимости в Zimbra Collaboration Suite и JetBrains TeamCity, что подчеркивает необходимость усиления мер кибербезопасности для защиты от этих сложных угроз.
-----

В последнее время наблюдается всплеск кибератак, организованных российскими хакерами APT29, известными своей передовой тактикой. Эти злоумышленники активно использовали уязвимости в Zimbra Collaboration Suite и JetBrains TeamCity, в частности, CVE-2022-27924 и CVE-2023-42793 для проникновения в критически важные системы. Компания Imperva, занимающаяся кибербезопасностью, с самого начала активно защищала своих клиентов от этих уязвимостей.

APT29, хорошо известная российская государственная группа, связанная с СВР, была выявлена в ходе различных изощренных кампаний по кибершпионажу. В основном они были нацелены на правительственные учреждения, технологические компании и критически важную инфраструктуру. Недавние атаки были сосредоточены на использовании слабых мест в широко используемых платформах, таких как Zimbra и TeamCity.

CVE-2022-27924 относится к уязвимости в Zimbra, которая позволяет взломать электронную почту, позволяя удаленным злоумышленникам, не прошедшим проверку подлинности, украсть учетные данные для входа через уязвимый почтовый сервер. Это нарушение потенциально может привести к полному проникновению в систему, предоставляя злоумышленникам привилегированный доступ к электронной почте и конфиденциальным сообщениям. Использование этой уязвимости продолжается с августа 2022 года, что способствует краже учетных данных учетной записи электронной почты.

С другой стороны, CVE-2023-42793 связан с уязвимостью в JetBrains TeamCity, которая позволяет злоумышленникам считывать произвольные файлы на сервере, получая доступ к конфиденциальным данным. Такая утечка информации может быть использована для повышения привилегий и дальнейшего проникновения в сеть организации, что создает значительные риски для процессов разработки. Как банды программ-вымогателей, так и северокорейские хакерские группы использовали эту уязвимость для первоначального доступа и попыток атак на цепочки поставок.

Было отмечено, что атаки на Zimbra были нацелены на определенный сайт финансовых услуг, особенно усилившиеся 17 августа. Эти атаки были совершены автоматизированными ботами, в основном из Великобритании, которые использовали уязвимость для взлома электронной почты. И наоборот, атаки, использующие уязвимость JetBrains TeamCity, были более агрессивными: были обнаружены миллионы запросов в различных отраслях, таких как FSI, бизнес-услуги, вычислительная техника и телекоммуникации. Трафик для атак поступал из разных стран, включая США, Германию, Индию, Францию и Россию, в которых использовались как боты, так и имитаторы браузеров для повышения эффективности попыток использования эксплойтов. Эти скоординированные усилия свидетельствуют о широкомасштабной кампании, нацеленной на конвейеры CI/CD и уязвимые среды разработки, в частности, на сайты, расположенные в США, Австралии и Индии, в сфере финансовых услуг и бизнеса. Для использования обоих CVE используются идентифицируемые совпадающие IP-адреса, что указывает на возможное сотрудничество в инфраструктуре субъекта угроз.

Поскольку спонсируемые государством злоумышленники активизируют свою деятельность и становятся все более изощренными, необходимость защиты от целенаправленных эксплойтов, таких как CVE-2022-27924 и CVE-2023-42793, приобретает первостепенное значение. Нацеленность APT29 на взлом Zimbra и TeamCity подчеркивает важность обеспечения безопасности корпоративных операционных служб, включая системы электронной почты и конвейеры CI/CD, в условиях растущих киберугроз.

#ParsedReport #CompletenessHigh
16-10-2024

Hive0147 serving juicy Picanha with a side of Mekotio

https://securityintelligence.com/x-force/hive0147-serving-juicy-picanha-with-side-of-mekotio

Report completeness: High

Actors/Campaigns:
Hive0147 (motivation: financially_motivated)
Hive0129

Threats:
Picanha
Mekotio
Coyote
Blotchyquasar
Astaroth
Grandoreiro
Dll_hijacking_technique
Bloat_technique
Nim_loader
Fake-trusteer
Ousaban

Industry:
Aerospace, E-commerce, Government, Retail, Financial

Geo:
Latam, Latin american, French, Dutch, Portuguese, Spanish, Chile, Colombia, Brazil, Latin america, Mexico

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1112, T1055

IOCs:
File: 15
Url: 5
Hash: 6
Domain: 44
IP: 1
Registry: 2

Soft:
Windows installer, NSIS installer

Crypto:
binance

Algorithms:
sha256, zip, exhibit, aes-256-gcm, md5

Functions:
FormCreate

Win API:
SetSecurityInfo

Languages:
golang, delphi, javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - растущая киберугроза в Латинской Америке, в частности, деятельность хакерской группы Hive 0147, распространяющей банковские трояны, такие как Banker.FN и новый загрузчик Picanha, разработанный для облегчения заражения Mekotio. Освещаются цифровая эволюция региона, рост электронной коммерции и внедрение цифровых услуг, что подчеркивает важность сотрудничества и обмена информацией между правозащитниками для эффективной борьбы с киберугрозами.
-----

Латиноамериканский ландшафт киберугроз все чаще становится объектом нападений злоумышленников, и Hive 0147 считается одной из самых активных хакерских групп в регионе. Было замечено, что эта группа атакует почтовые ящики сотрудников, уделяя основное внимание фишингу и распространению вредоносных программ. В июле, после 3-месячного перерыва, Hive 0147 вернулся с более масштабной кампанией и представил новый вредоносный загрузчик под названием "Picanha", который, вероятно, предназначен для облегчения распространения банковского трояна Mekotio. Кроме того, Hive0147 распространяет другие банковские трояны, такие как Banker.FN (Coyote) и связан с различными другими киберпреступными группами в Латинской Америке, которые используют различные загрузчики и трояны для банковского мошенничества.

Специалисты IBM X-Force отметили быстрое развитие ситуации с киберугрозами в Латинской Америке, особенно в таких странах, как Бразилия и Мексика, где экономика и промышленность процветают. Цифровая эволюция в регионе распространилась на государственные услуги и финансовые технологии, включая мобильный банкинг. В сфере электронной коммерции в Латинской Америке наблюдается значительный рост: с 2020 года 70% транзакций совершается по мобильным каналам. Ожидается, что в период с 2023 по 2026 год в регионе появится 33 миллиона новых пользователей Интернета, что будет способствовать дальнейшему внедрению цифровых услуг и онлайн-транзакций.

Компания Hive 0147, известный поставщик вредоносных программ для банковской системы в Латинской Америке, активно распространяет банковские трояны, такие как Banker.FN и недавно обнаруженный загрузчик Picanha, который облегчает заражение Mekotio. Было замечено, что группа отправляла электронные письма с французских и голландских IP-адресов, чтобы избежать обнаружения. Кампании Hive 0147 часто нацелены на пользователей в Бразилии и других странах региона и предназначены для получения банковских данных с целью получения денежной выгоды.

Picanha, новый двухэтапный загрузчик, обнаруженный компанией X-Force, играет решающую роль в развертывании банковского трояна Mekotio. На первом этапе вредоносная программа расшифровывает конфигурации, создает новые папки в %LOCALAPPDATA% и пытается подключиться к доменам загрузки для получения полезной нагрузки. Второй этап Picanha фокусируется на расшифровке конечной полезной нагрузки Mekotio и инициировании ее выполнения путем ручного отображения двоичного файла в памяти. Банковский троян Mekotio, скомпилированный на Delphi, устанавливает постоянство, взаимодействует с серверами управления и манипулирует банковскими приложениями для совершения мошеннических действий, захватывая конфиденциальную информацию и обходя меры безопасности.

Сотрудничество и обмен информацией между правозащитниками в Латинской Америке имеют решающее значение для борьбы с растущими киберугрозами, исходящими от распространителей вредоносных программ, таких как Hive 0147. Будучи в курсе последних угроз и применяя передовые методы, частные лица и организации могут снизить риски, связанные с банковскими троянами, и защитить себя от финансовых потерь. Тесное сотрудничество между правительствами, финансовыми учреждениями, правоохранительными органами и исследователями в области безопасности имеет важное значение для обеспечения безопасного цифрового будущего в регионе.

#ParsedReport #CompletenessLow
16-10-2024

Beware of phishing emails impersonating major domestic entertainment agencies

https://asec.ahnlab.com/ko/83863

Report completeness: Low

Victims:
Large domestic entertainment agencies

Industry:
Entertainment

ChatGPT TTPs:
do not use without manual check
T1566.001, T1036.005, T1059.006

IOCs:
Hash: 3

Soft:
Instagram, Telegram

Algorithms:
md5

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Была выявлена новая фишинговая кампания, в ходе которой злоумышленники выдают себя за крупные отечественные развлекательные агентства, чтобы обманом заставить получателей перейти по ссылкам, утверждая, что их изображения были использованы в рекламе без разрешения. Злоумышленники используют тактику социальной инженерии и технический обман, чтобы воспользоваться доверием пользователей, подчеркивая важность осторожности, проверки и осведомленности о безопасности для снижения рисков, связанных с фишинговыми атаками. Организации и частные лица должны сохранять бдительность, быть в курсе событий и применять надежные меры безопасности для защиты от возникающих киберугроз.
-----

ASEC (аналитический центр безопасности AhnLab) регулярно публикует статистические отчеты о фишинговых рассылках по электронной почте, в которых преобладают поддельные формы входа в систему, доставки и заказа на покупку. Недавно была выявлена новая фишинговая кампания, в ходе которой злоумышленники выдавали себя за крупные отечественные развлекательные агентства. Злоумышленники утверждают, что их изображения были использованы без разрешения в рекламе Facebook и Instagram, побуждая получателей переходить по ссылкам, чтобы подтвердить якобы неправильно использованные фотографии.

При переходе по ссылке активируется программа infostealer на базе Python. Чтобы заставить пользователей поверить, что это настоящий PDF-файл, злоумышленник изменяет значок файла на PDF-файл и скрывает расширение приложения (EXE), добавляя к имени файла несколько пробелов. При добавлении достаточного количества пробелов имя файла усекается и отображается как "..." до тех пор, пока на нем не будет нажата кнопка. Злоумышленник стратегически вставляет ".pdf" в конец имени файла, чтобы обмануть пользователей, заставив их думать, что это безобидный PDF-файл.

Эта тактика направлена на то, чтобы использовать доверие пользователей к PDF-файлам и их уверенность в том, что нажатие на PDF-файл не нанесет вреда их системе. Злоумышленники используют методы социальной инженерии, создавая ощущение срочности и беспокойства, заставляя получателей быстро реагировать на предполагаемое неправомерное использование их изображений. Кроме того, выдавая себя за известные развлекательные агентства, злоумышленники повышают вероятность того, что получатели попадутся на удочку мошенников из-за предполагаемого доверия к отправителю.

Крайне важно, чтобы пользователи проявляли осторожность при работе с нежелательными электронными письмами, особенно содержащими ссылки или вложения. Пользователям следует проверить подлинность отправителя и внимательно изучить URL-адреса, прежде чем переходить по ним. Кроме того, поддержание обновленного антивирусного программного обеспечения и регулярное проведение тренингов по безопасности могут помочь снизить риски, связанные с фишинговыми атаками.

Использование платформ социальных сетей для фишинговых кампаний подчеркивает эволюцию тактики, используемой киберпреступниками для поиска людей и использования их доверия к знакомым брендам или организациям. Сочетая социальную инженерию с техническим обманом, злоумышленники могут манипулировать пользователями, заставляя их совершать действия, которые ставят под угрозу их безопасность и конфиденциальность.

Для эффективной борьбы с такими угрозами организации и частные лица должны сохранять бдительность, быть в курсе возникающих угроз и применять надежные меры безопасности для защиты от фишинговых атак. Развивая культуру осведомленности о кибербезопасности и активно устраняя потенциальные риски, пользователи могут лучше защитить себя и свои данные от того, чтобы стать жертвами изощренных фишинговых схем.

#ParsedReport #CompletenessMedium
16-10-2024

Newly Discovered Linux Variant of FASTCash Malware Targets ATMs

https://www.secureblink.com/cyber-security-news/newly-discovered-linux-variant-of-fast-cash-malware-targets-at-ms

Report completeness: Medium

Actors/Campaigns:
Lazarus

Threats:
Fastcash
Process_injection_technique
Upx_tool

Victims:
Financial institutions

Industry:
Financial

Geo:
North korean, Indian, North koreans, Turkish

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1040, T1055, T1601

IOCs:
Hash: 2

Soft:
Ubuntu, UNIX

Algorithms:
des, sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что северокорейские хакеры, разработав новый Linux-вариант вредоносной программы FastCash, нацелились на платежные серверы на базе Linux, чтобы обеспечить несанкционированное снятие наличных в банкоматах. Эта вредоносная программа, относящаяся к группе Hidden Cobra или Lazarus, имеет опыт проникновения в платежные системы с целью кражи десятков миллионов долларов. Открытие этого варианта Linux означает расширение сферы их применения за счет включения более широкого спектра операционных систем, что создает значительные риски для финансовых учреждений и подчеркивает важность мер кибербезопасности для предотвращения подобных атак.
-----

Северокорейские хакеры недавно внедрили новый вариант вредоносной программы FastCash, предназначенной специально для серверов коммутации платежей на базе Linux. Эта вредоносная программа, ранее известная своей способностью компрометировать системы IBM AIX и Windows, теперь распространила свое действие на Linux, позволяя несанкционированно снимать наличные в банкоматах. Группа, ответственная за это вредоносное ПО, известная как Hidden Cobra или APT38/Lazarus Group, активно развивает свою тактику, нацеленную на финансовые учреждения.

Вредоносное по FastCash - это семейство вредоносных программ, приписываемых северокорейским хакерам, которые проникали в платежные системы с целью несанкционированного снятия наличных в банкоматах как минимум с 2016 года. Манипулируя сообщениями о транзакциях, эта вредоносная программа использовалась для кражи десятков миллионов долларов за один инцидент во многих странах. Важными событиями в истории FastCash являются предупреждения, выпущенные Агентством кибербезопасности и защиты инфраструктуры США (CISA) в 2018 году, появление версии Windows в 2019 году и предъявление обвинений в 2021 году северокорейцам, причастным к этим операциям, на общую сумму кражи более 1,3 миллиарда долларов.

Недавно обнаруженный Linux-вариант FastCash был скомпилирован для Ubuntu Linux 20.04 с использованием GCC 11.3.0 и, как полагают, был разработан после 21 апреля 2022 года, возможно, в среде виртуальной машины VMware. Этот вариант работает в турецкой лире (TRY), в то время как его предшественники работали с индийской рупией (INR). Вредоносная программа перехватывает сообщения ISO8583, стандарт, используемый для сообщений о финансовых транзакциях, и манипулирует ими. Компрометируя платежные системы, вредоносная программа может незаметно изменять данные транзакций, что в конечном итоге позволяет осуществлять несанкционированное снятие наличных в банкоматах.

Для достижения этой цели вредоносная программа перехватывает сообщения ISO8583, подключаясь к сетевым процессам и внедряясь в запущенные процессы на сервере коммутатора платежей. Используя общие библиотеки для отслеживания и изменения сообщений о транзакциях в режиме реального времени, вредоносная программа может генерировать случайные суммы снятия наличных, изменять коды ответов, чтобы указать на одобрение, корректировать элементы данных для удаления информации, связанной с безопасностью, и отправлять эти обработанные ответы в центральные системы банка, чтобы разрешить несанкционированное снятие средств.

Обнаружение версии Linux означает, что цели северокорейских хакеров расширяются и включают в себя более широкий спектр операционных систем, что создает значительные риски для финансовых учреждений, использующих Linux для обработки платежей. Несанкционированное снятие наличных с помощью FastCash может привести к существенным финансовым потерям и репутационному ущербу для затронутых учреждений, что усугубляется способностью вредоносного ПО ускользать от обнаружения. Подчеркивается важность регулярных обновлений и исправлений для устранения уязвимостей, используемых такими вредоносными программами, в качестве важнейшей меры безопасности, которую должны внедрять финансовые учреждения.